RSS訂閱 《笑傲缸湖》相信有用開蘋果產品嘅朋友仔手中都會有一個Apple ID,作為用家之
一,盈盈都覺得呢個ID設計係幾方便,一個ID就可以喺所有嘅蘋果產品上面通用,真係啱曬
好似盈盈呢種成日唔記得ID同密碼嘅人。最近蘋果就話,想啟動Apple ID登陸第三方
嘅保護隱私機制,容許Apple ID註冊第三方應用程序帳戶,不過印度嘅漏洞研究人員B
havuk就發現當中有嚴重嘅漏洞。
Bhavuk喺上個月就同咗蘋果安全團隊報告。佢話喺服務器通過Apple ID登陸
進行用戶身份驗證嗰陣,可以生成JSON Web令牌(JWT),依個令牌當中就包含咗第
三方應用程序發來確認登陸用戶身份嘅機密信息。但係蘋果有要求用戶發起請求前要登陸帳號,
不過就無驗證係唔係同一個人操作。咁樣嘅操作就有機會畀黑客借機呃Apple服務器生成有
效嘅JWT,從而獲得用戶嘅機密資料。
而最可怕之處在於,JWT可以用嚟請求Apple嘅任何電子郵件ID,並且用Appl
e公鑰驗證獲取嘅令牌簽名後,就可以登錄。換句話講,黑客可以通過鏈接獲取任何Email
ID並且通過訪問權限偽造JWT,進而訪問受害者帳戶。咁樣黑客分分鐘就可以完全盜用你
個Apple ID。
俗話都講話「知錯能改,善莫大焉」,蘋果團隊證實咗的確有呢個漏洞後,就立刻對漏洞進
行修復。並喺自己公司嘅服務器到進行調查,搵下有無因為呢個漏洞喺過去畀影響或者破壞嘅帳
戶。除此之外,發現呢個巨大漏洞嘅Bhavuk都獲得蘋果足足十萬美金嘅獎金。真係聽到都
令人好葡萄啊,各位fans不妨都挖一下蘋果嘅漏洞,可能下一個攞到豐厚獎金嘅人係你都話
唔定呢!《任盈盈》
《編者按》本欄搜羅即市傳聞,惟消息未經證實,《經濟通》亦不保證內容之準確性。
etnet榮獲HKEX Awards 2023 「最佳表現證券數據供應商」大獎► 了解詳情
